Pentru un audit este nevoie de timp, abilităţi, expertiză, imparţialitate şi onestitate. Altfel nu se poate să obţii o înţelegere flexibilă şi cuprinzătoare a ceea ce trebuie revizuit. Ca auditor se presupune că vei raporta constatări obiective şi corecte.

Voi lua ca exemplu actul normativ din titlu, fără a plictisi cu citarea tuturor cerinţelor. Menţionez că în opinia mea, aceasta nu este o misiune tipică de audit ci un audit de conformitate în care clientul este STATUL şi auditatul este BANCA. Sînt multe de spus, dar le voi lua pe rînd, aşa după cum înţeleg eu lucrurile.

Premise: se acceptă exprimarea şi cerinţele actului normativ, chiar dacă acestea sînt incorecte!

“Art. 5 f) opinia de audit asupra planului de securitate prevãzut la lit. d) şi a soluţiei informatice prin intermediul cãreia este oferit instrumentul de platã cu acces la distanţã”

 “Art. 5 d) planul de securitate al sistemului informatic, semnat de cãtre emitent, cuprinzând totalitatea mãsurilor tehnice şi organizatorice prevãzute pentru asigurarea cerinţelor cuprinse la art. 3;”

”Art. 3 Scopul avizului îl constituie verificarea îndeplinirii de cãtre sistemul informatic al emitentului şi de cãtre soluţia software, prin intermediul cãrora este oferit instrumentul de platã cu acces la distanţã, a unor cerinţe minime de securitate, referitoare la:
a) confidenţialitatea şi integritatea comunicaţiilor;
b) confidenţialitatea şi nonrepudierea tranzacţiilor;
c) confidenţialitatea şi integritatea datelor;
d) autenticitatea pãrţilor care participã la tranzacţii;
e) protecţia datelor cu caracter personal;
f) pãstrarea secretului bancar;
g) trasabilitatea tranzacţiilor;
h) continuitatea serviciilor oferite clienţilor;
i) împiedicarea, detectarea şi monitorizarea accesului neautorizat în sistem;
j)restaurarea informaţiilor gestionate de sistem în cazul unor calamitãţi naturale şi evenimente imprevizibile;
k) gestionarea şi administrarea sistemului informatic;
l) orice alte activitãţi sau mãsuri tehnice întreprinse pentru exploatarea în siguranţã a sistemului.”

O bancă oarecare lansează o cerere de servicii. Cum se răspunde?

Varianta 1: cu un ochi în “piaţă” se ofertează un tarif cît mai mic pentru a “prinde” clientul.

Varianta 2: Se cere completarea preliminară a unui chestionar pentru evaluarea riscului auditării şi dimensionarea misiunii. Abia apoi se bugetează şi se răspunde ofertei. …De ce este mai corectă o astfel de abordare? În primul rînd pentru că activităţile bancare sînt implicit “high risk”. Detaliind puţin cerinţele de mai sus, o astfel de misiune implică:

• testarea conformităţii planului de securitate cu cerinţele OMCTI
• testarea de fond a controalelor din Plan.

Auditorul a învăţat că orice misiune de audit presupune stabilirea unor obiective.

Pentru testarea conformităţii auditorul trebuie să se raporteze la un framework/standard sau practici. Se pot alege controalele din ISO 27002 – Code of practice, obiectivele de control din DS5 – COBIT (inclusiv relaţiile cu celelelate domenii: PO2, PO3, PO9, AI2, DS1, DS8, DS7, ME1, AI6, PO9, DS11)

Dincolo de traducerea incorectă şi incompletă a cerinţelor Ordinului din documentele originale, dacă planul de securitate este corect realizat, ar trebui să includă aspectele cerute de Ordin astfel: network perimeter management, incident management, identity management, outsourcing management, change management, service continuity management… Toate acestea dezvoltate pornind de la evaluarea riscurilor: plan de evaluare şi plan de tratare. Pentru că “măsuri tehnice şi organizatorice” înseamnă controale tehnice şi administrative!

Dacă nu există aşa ceva, controalele sînt adoptate inconsistent şi nu există nici o garanţie că dimininuează efectele riscurilor. Afirmaţia este valabilă şi dacă evaluarea riscurilor este “copy-paste special – unformated text” :)…

Al doilea aspect, testarea controalelor din plan este la rîndul său strict legată de evaluarea riscurilor!

Consider subiectul risk management cel mai important, motiv pentru care primul (nu cronologic) obiectiv al misiunii consider a fi înţelegerea acestei evaluări. Sau, altfel spus, managementul a instituit controale corespunzătoare tipului şi nivelurilor riscurilor din Internet Banking?